Windows-Kontoinformationen werden im SAM-Registrierungs-Hive gespeichert. Dort werden Kennwörter mit einem Einweg-Hash gespeichert (entweder LM-Hash, der alt und schwach ist, oder NTLM-Hash, der neuer und stärker ist.)
Die SAM-Hive-Datei befindet sich unter %WinDir%\system32\config\sam
. Dieses Verzeichnis und seine übergeordneten Verzeichnisse sind standardmäßig für nicht-administrative Benutzer unzugänglich. Es ist jedoch anfällig für Offline-Angriffe (z.B. das Booten einer LiveCD und die manuelle Änderung der Binärdaten). Zum Beispiel mit dem Werkzeug ONTPRE ).